Cyberversicherung

So bewerten Versicherer das Cyberrisiko von Unternehmen

13.12.2018 von Rudolf Scheller
Eine umfassende Risikobewertung bildet die Grundlage der Absicherung gegen Cyberangriffe in der Prävention und im Schadenfall. Versicherer haben zu diesem Zweck ausgefeilte Fragebögen und Tools entwickelt, um alle relevanten Faktoren zu erfassen.

Durch die rasante Digitalisierung der Wirtschaft und Gesellschaft wird es für Unternehmen immer schwieriger, sich effektiv vor Cyberangriffen zu schützen. Die größere Angriffsfläche macht es Cyberkriminellen einfacher, eines der Schlupflöcher zu nutzen und ins interne Netz eines Betriebes vorzudringen. Vor allem kleine Unternehmen und Mittelständler leiden unter Cyberangriffen, da sie aufgrund des leichtfertigen Umgangs IT-Infrastruktur und veralteter Software besonders anfällig sind.

Versicherungen bewerten Risiken für Unternehmen anhand von Risikofaktoren, die für jedes Unternehmen einzigartig sind und individuell abgefragt werden.
Foto: vinnstock - shutterstock.com

Neben diesen Faktoren leiten Versicherer aus ihren Analysen von Schadenfällen weitere Entwicklungsmuster ab: Immer häufiger gelangt Schadsoftware über Drittplattformen von Serviceanbietern, die Liefer- oder Abnehmerkette in das interne Unternehmensnetz. Auch die Verwendung von Open-Source-Software und Apps gilt als riskant.

Die Basis der Risikoanalyse des Versicherers

Auf Unternehmensebene bewerten Versicherungen Risiken anhand von Risikofaktoren, die für jedes Unternehmen einzigartig sind. Diese Vorgehensweise gewährt den Kunden einen tieferen Einblick in ihre Stärken und Schwachstellen im Hinblick auf Cybersicherheit. Diese sogenannten Cyber Risk Assessments bestehen aus einer Vielzahl ausgewählter Fragen, die über eine Reihe von Auswahlmöglichkeiten beantwortet werden können.

Einige Fragen machen die inhaltliche Unterstützung anderer Bereiche innerhalb des Unternehmens erforderlich. Hierzu gehören unter anderem die IT sowie Verantwortliche für Sicherheitsfragen. Nach Abschluss und Übermittlung der Informationssicherheitsbewertung erhalten die Anwender einen personalisierten Cyberrisikobericht, der von Experten für Cybersicherheit auf Grundlage einer eingehenden Analyse der Ergebnisse erstellt wurde.??

Das inhärente Risiko

Der erste Schritt bei der Beurteilung eines Kunden besteht darin, die Bandbreite des innewohnenden Cyberrisikos zu verstehen. Das "inhärente" Cyberrisiko ähnelt dem von Bränden und anderen natürlichen Gefahren: Sie werden beide von Faktoren bestimmt, die außerhalb der Kontrolle des Unternehmens liegen. Ein Kunde, der sich beispielsweise in einer bekannten Hochwasserzone befindet, hat ein höheres inhärentes Hochwasserrisiko als ein Kunde, der nicht in einer solchen positioniert ist. Je größer diese Art des Risikos ist, desto umfassender müssen die Sicherheitskontrollen des Kunden sein, um es zu minimieren.

Zu den Faktoren, die zur Bestimmung des inhärenten Risikos für Cyberangriffe verwendet werden, gehören die Industriezugehörigkeit, der Hauptsitz des Unternehmens und seine Präsenzländer. Auch die Frage, in welchen Geschäftsfeldern sich ein Kunde bewegt und wo er seine Geschäfte grundsätzlich ausübt hat Einfluss auf seine Gefährdungslage. Diese Faktoren sollten gemeinsam und nicht isoliert betrachtet werden.

Industriezugehörigkeit

Die Industriezugehörigkeit bezieht sich auf die Grundkategorie der Geschäftstätigkeit - das heißt in der Regel, wie ein Kunde hauptsächlich seinen Umsatz generiert. Die Branche bestimmt, wo seine Hauptvermögenswerte liegen. Heutzutage sind das meist Daten und Produktionsanlagen. Hierbei handelt es sich um Werte, die bei Verlust die Wettbewerbsfähigkeit negativ beeinflussen, Rechte an geistigem Eigentum betreffen sowie die Markenreputation schädigen und die Geschäftsfähigkeit im Allgemeinen einschränken.

Verschiedene Branchen ziehen unterschiedliche Arten von Aggressoren an. Ein Flugzeughersteller hat beispielsweise ein hohes Risiko, von einem Staat angegriffen zu werden aufgrund der Art seiner Tätigkeit. Informationen aus dieser Art von Industrie nutzen vor allem Nationalstaaten, die eine eigene Flugzeugindustrie aufbauen möchten. Das Risiko durch "Hacktivisten" und organisierte Kriminalität ist dagegen geringer, weil die Informationen für solche Angreifer weniger wertvoll sind.

Der Hauptsitz des Unternehmens

Der Hauptsitz eines Kunden zentralisiert seine Führung, seine Finanzen und sein Know-how. Es ist auch der Ort, an dem die Marke lebt und am stärksten sichtbar ist. Hauptsitze in Ländern mit hoher globaler Bekanntheit sind öfter das Ziel von Cyberangriffen.

Niederlassungen

Niederlassungen in anderen Ländern verfügen meist über eine signifikante Aggregation von wichtigen Unternehmenstätigkeiten oder -infrastrukturen. Hierzu gehören Rechenzentren, Produktionsstätten, Forschung und Entwicklung sowie eine große Zahl von Mitarbeitern.

Einige Charakteristika dieser Länder können das inhärente Cyberrisiko beeinflussen. So setzen manche Staaten Cybergesetze nicht durch. Andere haben nicht die wirtschaftlichen Voraussetzungen, um Ressourcen zur Einführung und Durchsetzung von Cybersicherheitspraktiken und -gesetzen aufzubringen. Auch das politische Umfeld hat einen großen Einfluss. So sind manche Staaten politisch instabil und von Störfaktoren wie Unruhen und Terrorismus betroffen.

Handhabung von Risiken

Über das inhärente Risiko hinaus bewerten Versicherer auch die Art und Weise, wie Unternehmen Sicherheitsthemen handhaben. Daraus leitet sich das individuelle Risiko des Kunden ab. Diese Themen befassen sich mit den organisatorischen und technischen Schutzmaßnahmen, die getroffen werden. Im Folgenden werden diese Themen näher beschrieben sowie beispielhafte Assessment-Fragen aufgeführt.

Governance

Governance bezieht sich auf die Verantwortlichkeit der Geschäftsleitung eine strategische Ausrichtung zu definieren. Sie muss sicherstellen, dass das Thema Cybersicherheit angemessen gemanagt wird. Zudem fördert sie die Verantwortlichkeit für Informationssicherheit über die gesamte Organisation hinweg, nicht nur in der IT-Abteilung.

Identifikation

Dies beinhaltet die Identifizierung von schutzbedürftigen Vermögenswerten sowie aller möglichen Bedrohungen, die auf diese Vermögenswerte abzielen.

Schutz

Der Schutz umfasst die Entwicklung, Implementierung und Aufrechterhaltung angemessener Sicherheitsvorkehrungen zur Absicherung der Vermögenswerte und Dienstleistungen.

Erkennung

Hierbei geht es darum geeignete Sicherheitsvorkehrungen für die Benachrichtigung des Sicherheitspersonals beim Eintritt eines Cyber-Ereignisses zu entwickeln und zu implementieren.

Reaktion

Reaktion bedeutet, dass man Verfahren entwickelt und implementiert, um auf Cyberangriffe adäquat und regelbasiert antworten zu können.

Wiederherstellung

Wiederherstellung umfasst die Konzeption und Umsetzung von Maßnahmen zur Wiederherstellung des Unternehmenszustands in seiner ursprünglichen Form.

Ganzheitlich handeln und zusätzlich absichern

Unternehmen müssen selbst viel dafür tun, um Schäden durch Cyberangriffe abzuwenden oder zumindest zu verringern - vor allem dadurch, dass sie die Unternehmensdaten optimal und umfangreich schützen. Es ist hier wichtig, dass sowohl die externen als auch die internen Schwachstellen aufgedeckt und geschlossen werden.

Dennoch kann es vorkommen, dass ein Cyberangriff ins Mark trifft und erhebliche Schäden verursacht. Eine Versicherung, die konkret Schäden versichert, die durch Cyberattacken verursacht werden, ist eine Option, über die nachgedacht werden sollte.